Sistemi o prodotti esclusi
I seguenti prodotti o sistemi sono espressamente esclusi da questa policy, salvo che il proprietario abbia dato il proprio consenso:
- Apparecchiature e software dei clienti: Tutte le apparecchiature fisiche, i macchinari e i software di proprietà di un cliente. Questo include, ma non è limitato a, bilance, etichettatrici, affettatrici e altri prodotti hardware e software Bizerba sotto il controllo e la proprietà del cliente.
- Sistemi di terze parti: Sistemi e servizi gestiti da terze parti e non direttamente controllati da Bizerba.
Procedura
Si prega di seguire la seguente procedura:
- Invia le tue segnalazioni relative al problema di sicurezza riscontrato a security@bizerba-s.sbs . Ti preghiamo di utilizzare la nostra chiave PGP per crittografare la documentazione, al fine di garantire la sicurezza delle informazioni sensibili. Per una comunicazione ottimizzata, utilizza il modello riportato di seguito.
- Non sfruttare la vulnerabilità scaricando, modificando, eliminando dati o caricando codice.
- Non divulgare alcuna informazione sulla vulnerabilità a terzi, salvo autorizzazione da parte di Bizerba.
- Non eseguire attacchi che possano compromettere, modificare o manipolare i nostri sistemi IT, l'infrastruttura o i dati personali.
- Evita attacchi di social engineering (es. phishing), attacchi (distribuiti) di denial-of-service, spam o altri attacchi simili contro Bizerba.
- Fornisci informazioni sufficienti per comprendere e analizzare il problema e offri un'opzione di contatto per eventuali domande.
Il nostro impegno
- Ci impegnamo per analizzare la vulnerabilità il più rapidamente possibile e correggerla se necessario.
- Riceverai una conferma dell'avvenuta ricezione della tua segnalazione e un riscontro sul contenuto.
- Se agisci in conformità con questa policy di sicurezza, le autorità giudiziarie non verranno informate in relazione alla tua segnalazione. Ciò non si applica se vengono chiaramente perseguiti intenti criminali o di intelligence.
- Tratteremo la tua segnalazione in modo confidenziale e non trasmetteremo i tuoi dati personali a terzi senza il tuo consenso.
- Ti informeremo sulla validità e sulla gestione della vulnerabilità durante il periodo di elaborazione.
Segnalazione qualificata delle vulnerabilità:
Segnalazione qualificata delle vulnerabilità: qualsiasi problema di progettazione o implementazione che sia riproducibile e influisca sulla sicurezza può essere segnalato. Esempi di ciò sono
- Escalation dei privilegi
- Uscita dalla modalità Kiosk
- Accesso non autorizzato a proprietà o account
- Cross-Site Request Forgery (CSRF)
- Cross-Site Scripting (XSS)
- Riferimento diretto insicuro a oggetti
- Esecuzione di codice remoto (RCE) - Vulnerabilità di iniezione
- Perdita di informazioni e gestione impropria degli errori
- Esfiltrazione di dati/informazioni
- Backdoor attivamente sfruttabili
Vulnerabilità non qualificate
Le seguenti vulnerabilità non sono coperte dalla Vulnerability Disclosure Policy di Bizerba e non devono essere segnalate:
- Attacchi che richiedono l’accesso fisico al dispositivo
- Form con token CSRF mancanti, a condizione che la criticità non superi il livello 6 del Common Vulnerability Scoring System (CVSS)
- Attacchi di denial of service (DoS/DDoS)
- Header di sicurezza mancanti che non portano direttamente a una vulnerabilità sfruttabile
- L’uso di una libreria nota per essere vulnerabile senza una prova attiva della sua sfruttabilità
- Segnalazioni da strumenti o scansioni automatiche senza documentazione esplicativa
Modello di formato per un rapporto sulle vulnerabilità
È possibile utilizzare questo modulo per segnalare potenziali vulnerabilità di sicurezza nei prodotti di Bizerba SE & Co. KG. Se si desidera inviare file quali il passaporto del dispositivo Bizerba o i file di log, si prega di inviarli separatamente all'indirizzo e-mail security@bizerba-s.sbs. È inoltre possibile inviare i file crittografati utilizzando la nostra chiave PGP.